Оценка соответствия Приказу ФСТЭК России № 21 (УЗ-4)

Добро пожаловать в опрос: Оценка соответствия требованиям Приказа ФСТЭК России от 18 февраля 2013 г. № 21 (УЗ-4)

Здесь Вы сможете оценить выполнение Вашей организацией — оператором персональных данных базового набора требований Приказа ФСТЭК России № 21 “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” установленных для четвертого уровня защищенности персональных данных (УЗ-4). Для этого Вам предстоит пройти опрос и ответить на 37 вопросов.

Про результатам прохождения данного опроса Вам на электронную почту будет направлен подробный отчет, содержащий требования, которые необходимо выполнить для того, чтобы обеспечить соответствие Вашей организации федеральному законодательству в области персональных данных. Данный отчет также будет выведен на экран.

Перед прохождением опроса, укажите, пожалуйста, свои данные для оформления сертификата соответствия и адрес электронной почты для направления Вам результатов.

1. 
В вашей организации безопасность ПДн при их обработке в ИСПДн обеспечивает оператор, либо лицо, осуществляющее обработку ПДн по поручению оператора, либо для выполнения работ по обеспечению безопасности ПДн привлекается на договорной основе юридическое лицо или индивидуальный предприниматель, имещий лицензию ФСТЭК России на деятельность по технической защите конфиденциальной информации?

2. 
В вашей организации меры по обеспечению безопасности ПДн реализуются в рамках системы защиты ПДн, создаваемой в соответствии с Требованиями к защите ПДн при их обработке в ИСПДн, утвержденными постановлением Правительства РФ от 1 ноября 2012 г. № 1119 и направлены на нейтрализацию актуальных угроз безопасности ПДн??

3. 
В вашей организации меры по обеспечению безопасности ПДн реализуются в т.ч. посредством применения в ИС средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия, в случаях, когда применение таких средств необходимо для нейтрализации актуальных угроз безопасности ПДн?

4. 
Проводится ли в вашей организации оценка эффективности реализованных в рамках системы защиты ПДн мер по обеспечению безопасности ПДн не реже одного раза в 3 года?

5. 
Ваша организация определила базовый набор мер по обеспечению безопасности ПДн для установленного уровня защищенности ПДн в соответствии с Приложением к Приказу ФСТЭК от 18 февраля 2013 г. № 21?

6. 
Ваша организация выполнила адаптацию базового набора мер по обеспечению безопасности ПДн с учетом структурно-функциональных характеристик ИС, ИТ, особенностей функционирования ИС (в т.ч. исключение из базового набора мер, непосредственно связанных с ИТ, не используемыми в ИС, или структурно-функциональными характеристиками, не свойственными ИС)?

7. 
Ваша организация выполнила уточнение адаптированного базового набора мер по обеспечению безопасности ПДн с учетом не выбранных ранее мер, приведенных в приложении к Приказу ФСТЭК № 21, в результате чего определяются меры по обеспечению безопасности ПДн, направленные на нейтрализацию всех актуальных угроз безопасности ПДн для конкретной ИС?

8. 
Ваша организация выполнила дополнение уточненного адаптированного базового набора мер по обеспечению безопасности ПДн мерами, обеспечивающими выполнение требований к защите ПДн, установленными иными нормативными правовыми актами в области обеспечения безопасности ПДн и защиты информации?

9. 
Ваша организация при невозможности технической реализации отдельных выбранных мер по обеспечению безопасности ПДн, а также с учетом экономической целесообразности на этапах адаптации базового набора мер и (или) уточнения адаптированного базового набора мер разработала иные (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПДн, а также соответствующее обоснование применения компенсирующих мер для обеспечения безопасности ПДн?

10. 
В вашей организации при использовании в ИС сертифицированных по требованиям безопасности информации средств защиты информации применяются средства защиты информации не ниже 6 класса и 6 уровня доверия, а также средства вычислительной техники не ниже 6 класса?

11. 
(ИАФ.1) В вашей организации реализованы меры по идентификации и аутентификации пользователей, являющихся работниками оператора?

12. 
(ИАФ.3) В вашей организации реализованы меры по управлению идентификаторами, в том числе создание, присвоение, уничтожение идентификаторов?

13. 
(ИАФ.4) В вашей организации реализованы меры по управлению средствами аутентификации, в том числе хранение, выдача, инициализация, блокирование средств аутентификации и принятие мер в случае утраты и (или) компрометации средств аутентификации?

14. 
(ИАФ.5) В вашей организации реализованы меры по защите обратной связи при вводе аутентификационной информации?

15. 
(ИАФ.6) В вашей организации реализованы меры по идентификации и аутентификации пользователей, не являющихся работниками оператора (внешних пользователей)?

16. 
(УПД.1) В вашей организации реализованы меры по управлению (заведение, активация, блокирование и уничтожение) учетными записями пользователей, в том числе внешних пользователей?

17. 
(УПД.2) В вашей организации реализованы необходимые методы (дискреционный, мандатный, ролевой или иной метод), типов (чтение, запись, выполнение или иной тип) и правил разграничения доступа?

18. 
(УПД.3) В вашей организации реализовано управление (фильтрация, маршрутизация, контроль соединений, однонаправленная передача и иные способы управления) информационными потоками между устройствами, сегментами ИС, а также между ИС?

19. 
(УПД.4) В вашей организации реализовано разделение полномочий (ролей) пользователей, администраторов и лиц, обеспечивающих функционирование ИС?

20. 
(УПД.5) В вашей организации реализовано назначение минимально необходимых прав и привилегий пользователям, администраторам и лицам, обеспечивающим функционирование ИС?

21. 
(УПД.6) В вашей организации реализовано ограничение неуспешных попыток входа в ИС (доступа к ИС)?

22. 
(УПД.13) В вашей организации реализован защищенный удаленный доступа субъектов доступа к объектам доступа через внешние информационно-телекоммуникационные сети?

23. 
(УПД.14) В вашей организации реализованы регламентация и контроль использования в информационной системе технологий беспроводного доступа?

24. 
(УПД.15) В вашей организации реализованы Регламентация и контроль использования в информационной системе мобильных технических средств?

25. 
(УПД.16) В вашей организации реализовано управление взаимодействием с ИС сторонних организаций (внешние ИС)?

26. 
(РСБ.1) В вашей организации определены события безопасности, подлежащие регистрации, и сроки их хранения?

27. 
(РСБ.2) В вашей организации определены состав и содержание информации о событиях безопасности, подлежащих регистрации?

28. 
(РСБ.3) В вашей организации осуществляется сбор, запись и хранение информации о событиях безопасности в течение установленного времени хранения?

29. 
(РСБ.7) В вашей организации реализована защита информации о событиях безопасности?

30. 
(АВЗ.1) В вашей организации реализована антивирусная защита?

31. 
(АВЗ.2) В вашей организации реализовано обновление базы данных признаков вредоносных компьютерных программ (вирусов)?

32. 
(АНЗ.2) В вашей организации осуществляется контроль установки обновлений программного обеспечения, включая обновление программного обеспечения средств защиты информации?

33. 
(ЗСВ.1) В вашей организации реализована идентификация и аутентификация субъектов доступа и объектов доступа в виртуальной инфраструктуре, в том числе администраторов управления средствами виртуализации?

34. 
(ЗСВ.2) В вашей организации реализовано управление доступом субъектов доступа к объектам доступа в виртуальной инфраструктуре, в том числе внутри виртуальных машин?

35. 
(ЗТС.3) В вашей организации осуществляется контроль и управление физическим доступом к техническим средствам, средствам защиты информации, средствам обеспечения функционирования, а также в помещения и сооружения, в которых они установлены, исключающие несанкционированный физический доступ к ним?

36. 
(ЗТС.4) В вашей организации осуществляется размещение устройств вывода (отображения) информации, исключающее ее несанкционированный просмотр?

37. 
(ЗИС.3) В вашей организации обеспечивается защита персональных данных от раскрытия, модификации и навязывания (ввода ложной информации) при ее передаче (подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе беспроводным каналам связи?

Спасибо за прохождение опроса по Оценка соответствия требованиям Приказа ФСТЭК России от 18 февраля 2013 г. № 21 (УЗ-4)!